Delucidazione su ip inspect

[schuldiner]

Salve,
sono un pò di giorni che mi documento sul firewall di ios ma non riesco a capire una cosa, forse sarà una domanda stupida...
Mi spiego meglio, se io applico una access list sull'interfaccia esterna (cioè quella connessa ad internet) che mi blocca tutto il traffico in ingresso e quindi permettendo di uscire solo il traffico generato dalla LAN che senso ha applicare l'inspect sulla ethernet???
Se mettessi per esempio un ip inspect firewall tcp e udp e poi lo applicassi sulla Ethernet 0 in ingresso o sulla Dialer1 in uscita che effetto ha?Oltre di appensatire la cpu del router che dovrà controllare tutti i pacchetti che passano?

[tricca]

Fai una prova: Lascia l'acl che blocca tutto il traffico in ingresso e disabilita l'inspect. Vedrai che non navighi più.

Quando navighi non generi solo traffico "in uscita" dalla tua lan. Vi sono infatti in ingresso una serie di pacchetti di risposta ai pacchetti in uscita dalla lan.

Ora se vuoi utilizzare in ingresso una acl che blocca tutto, senza l'inspect di solito si usa "tcp any any enstablished" che è in grado di aprire "varchi dinamci" in ingresso ad hoc per i pacchetti tcp di risposta.
Per gli altri tipi di pacchetti udp,icmp ecc .. ecc... invece non c'è soluzione. Bisogna per forza di cose aprire dei "varchi statici" cioè devi aggiungere qualche "permit" sulla acl in ingresso....ma così potresti essere soggetto a qualche tipo di attacco.

L'inspect viene incontro proprio a questo problema. Si occupa direttamente del controllo del traffico in uscita e del conseguente traffico di ritorno e permette l'accesso dinamicamente ai pacchetti di risposta. Al contrario del "tcp any any enstablished" però gestisce diversi tipi di traffico ip: oltre al solito tcp gestisce anche l'udp l'icmp ecc ecc

[schuldiner]

In effetti non ho ancora fatto delle prove ma ho solo letto varie cose, io ho fatto questa domanda appunto perchè mi sembrava di avere capito che applicando l'acl in ingresso all'interfaccia, si creavano dinamicamente le acl di ritorno per il traffico generato dalla lan, quindi non capivo il senso di mettere un inspect tcp.

[kobaiachi]

Ora se vuoi utilizzare in ingresso una acl che blocca tutto, senza l'inspect di solito si usa "tcp any any enstablished" che è in grado di aprire "varchi dinamci" in ingresso ad hoc per i pacchetti tcp di risposta.
Per gli altri tipi di pacchetti udp,icmp ecc .. ecc... invece non c'è soluzione. Bisogna per forza di cose aprire dei "varchi statici" cioè devi aggiungere qualche "permit" sulla acl in ingresso....ma così potresti essere soggetto a qualche tipo di attacco.

"L'inspect viene incontro proprio a questo problema. Si occupa direttamente del controllo del traffico in uscita e del conseguente traffico di ritorno e permette l'accesso dinamicamente ai pacchetti di risposta. Al contrario del "tcp any any enstablished" però gestisce diversi tipi di traffico ip: oltre al solito tcp gestisce anche l'udp l'icmp ecc ecc

"

Interessante finalmente inizio a caprici qualcosa anche io,
pero scusa tricca ma mi sorge una domanda, quello che fa l'inspect non lo posso faren sul router con con tcp any any estabilished ed una access list riflessiva per gli altri protocolli ?
Do

[Wizard]

Guarda qui:

http://www.ciscoforums.it/viewtopic.php?t=8957

[maggiore81]

Domandone di chiarimento

consideriamo una acl che fa deny ip any any sulla atm0.35 (int esterna)
se io faccio un ip inspect name tcp (e poi udp) in ingresso sulla eth0 (lato lan) il tutto funziona.

vedo che alcuni la mettono IN sulla eth0 o OUT sulla ATM0.35

differenze?

io ho sempre messo in ingresso sulla int che da sulla lan

[Wizard]

vedo che alcuni la mettono IN sulla eth0 o OUT sulla ATM0.35

Cisco consiglia di metterla in out sulla atm anche se nel 90% dei casi nn cambia nulla

Cambia nel momento in cui hai 2 o 3 eth e nn vuoi che il traffico venga insepezionato quando il passa ad es dalla eth 1 alla 2 ma solo verso internet